El que podemos considerar como uno de los mejores escaneadores comerciales de vulnerabilidades acaba de sacar su nueva versión, se trata de Nessus 5 de la prestigiosa compañía TENABLE Network Security
Se ha publicado un documento pdf con todas las novedades, no dudéis en echarle un vistazo para enteraros al completo de todas las mejoras.
En muchas ocasiones hemos hablado de consejos para llevar a cabo a la hora de realizar nuestra aplicación web de manera segura. Un tema muy importante es la gestión de las sesiones. Este punto suele ser a menudo débil si no está bien implementado y convertirse en un punto de falla en nuestro sistema.
Para tratar bien las sesiones, INTECO está escribiendo una serie de artículos que son muy interesantes. Podéis acceder a ellos a través de este enlace.
Saludos
El pasado viernes 29, Proxy Servicios y Consulting S.L.U. estuvimos en la Sysmana organizada por el I.E.S Gran Capitán dando una charla práctica de Hacking Ético a los alumnos y profesores de los C.F.G.S. de Administración de Sistemas Informáticos en Red y de Desarrollo de Aplicaciones Web.
La charla fue impartida por Miguel Á. Arroyo Moreno y Carlos García García, los cuales sacaron a debate temas como OWASP, ESAPI, XSS, SQLi, modificación cabeceras HTTP y variables POST, modSecurity, PHPIDS, Search Engine Hacking, Metasploit & Metasploitable, SET, etc. Como es habitual, se generó gran cantidad de preguntas y respuestas resultando en una agradable conversación constante entre alumnos, profesores y ponentes.
Actualización: Añadimos video de la charla.
El otro día hablé de algunas buenas técnicas para proteger una aplicación PHP. Una de las herramientas que comenté, fue PHPIDS. PHPIDS es un software IDS para aplicaciones en PHP. Al contrario que modSecurity, no se requiere instalar módulos en Apache. El funcionamiento de PHPIDS será el siguiente: toda petición a nuestra aplicación pasará primero (después comentaremos cómo) por PHPIDS, de manera que se comprobará el contenido de dicha petición en busca de patrones (mediante reglas establecidas) que puedan comprometer la seguridad. PHPIDS nos devolverá el nivel de riesgo de la petición, y será labor del programador dedicir qué hacer a partir de ello, es decir, cómo actuará nuestra aplicación en función de ello.
A continuación vamos a explicar cómo instalar y configurarlo.
Hola, después de leer un interesante artículo de Astaro acerca de las tendencias de seguridad para el 2012, me he animado a escribir este artículo que pretende ser un pequeño recopilatorio de los consejos básico y no menos importantes en cuanto a seguridad informática. Al igual que a final de cada año nos hacemos nuevas propuestas para el año nuevo, como aprender un idioma, perder algunos “kilitos” de más, etcétera… deberíamos de hacer lo mismo en materia de seguridad. Son muy sencillos.
Desde nuestro blog queremos felicitaros a tod@s por estas fechas. Desearos lo mejor para cada un@ de vosotr@s. Mayormente salud, que seáis felices y buen@s.
Feliz Navidad y Próspero 2012.
El equipo de www.hacking-etico.com.
No cabe duda que hoy en día la mayoría de las páginas webs están desarrolladas mediante un lenguaje de programación y su contenido es dinámico. Existen diversidad de lenguajes de programación para ello: ASP, PHP, JavaScript, Python, Perl, etc., aunque sin duda, uno de los más utilizados es PHP.
Cuando se programa una aplicación web, la cual dispone de formularios, URLs, o en definitiva, entradas manejadas por el usuario de la aplicación, nunca, y repito, nunca, debemos confiar en que el usuario tendrá buenas intenciones y los datos que provengan de estas entradas serán siempre los que esperamos. Debemos tener en cuenta siempre la siguiente idea: entradas que provienen del usuario, pueden convertirse en código en el servidor. A continuación os comentamos algunos consejos a tener en cuenta para hacer nuestra aplicación web más segura.
Es bien sabido que muchos trabajadores se llevan el trabajo a casa bien por carga de trabajo, bien por pelotear a las altas esferas de la empresa o bien porque se ven forzados de alguna forma.
Hasta aquí todo lógico o razonable, pero si nos quedamos en el hecho no sirve de nada este artículo. El caso es que esto supone graves riesgos diarios para la empresa, la cual entre más grande más riesgos(informáticos se entiende). El usuario lo hace en la mayoría de casos sin ser consciente lo que esto supone y por supuesto sin ningún ánimo de reventar la empresa.
Ayer, viernes 04 de Noviembre, Proxy Servicios y Consulting S.L.U. fue invitada para dar un seminario de concienciación sobre la seguridad de la información en el curso de Agentes Comerciales que se está impartiendo en Shalom Tecnologic S.L. Este seminario, junto al I Hacklab en Córdoba que se celebró el pasado 19 de octubre, pertenece a las actividades especiales que se están organizando en relación al 5º aniversario de Proxy Servicios y Consulting S.L.U.
El seminario fue impartido por Miguel Ángel Arroyo y Carlos García con el fin de despertar el interés y tratar de concienciar en la importancia de la seguridad informática, y creemos que así se consiguió. En resumen, una buena mañana en la que el intercambio de preguntas y respuestas fue constante, señal de que se despertó el interés en un campo a veces tan olvidado.
JoomlaScan es un programa escrito en Perl que nos ayudará a realizar la etapa de fingerprinting cuando estemos realizando una auditoría a una aplicación web basada en el CMS Joomla!
En concreto, JoomlaScan nos ayudará a descubrir ante qué versión de Joomla nos encontramos. Debemos advertir que no siempre será exacto, pero si nos acercará a la versión. Ya sabéis que cuanta más información tengamos a priori, más efectivo seremos en los etapas posteriores de la auditoría.
Además de ello, también podrá reportarnos algunas posibles vulnerabilidades, por lo que nos encontramos ante una aplicación muy útil teniendo el cuenta el alto número de aplicaciones en Joomla! que existen en la red a día de hoy.
Para descargar la aplicación entrad en esta dirección.
Saludos
Comentarios recientes